Home Networking Saluran Telegram mengungkap persenjataan cepat atas kelemahan SmarterMail
Networking

Saluran Telegram mengungkap persenjataan cepat atas kelemahan SmarterMail

Sponsored by Flare6 min read
29
saluran-telegram-mengungkap-persenjataan-cepat-atas-kelemahan-smartermail
Saluran Telegram mengungkap persenjataan cepat atas kelemahan SmarterMail

Peneliti Flare yang memantau saluran Telegram bawah tanah dan forum kejahatan dunia maya telah mengamati pelaku ancaman dengan cepat membagikan eksploitasi bukti konsep, alat ofensif, dan kredensial administrator yang dicuri terkait dengan kerentanan SmarterMail yang baru-baru ini diungkapkan, sehingga memberikan wawasan tentang seberapa cepat penyerang mempersenjatai kelemahan keamanan baru.

Aktivitas tersebut terjadi dalam beberapa hari setelah kerentanan terungkap, dengan pelaku ancaman membagikan dan menjual kode eksploitasi dan akses yang disusupi terkait dengan CVE-2026-24423 dan CVE-2026-23760, kelemahan kritis yang memungkinkan eksekusi kode jarak jauh dan bypass autentikasi pada server email yang terbuka.

Kerentanan ini telah dikonfirmasi dalam serangan di dunia nyata, termasuk kampanye ransomware, yang menyoroti bagaimana penyerang semakin menargetkan infrastruktur email sebagai ancaman. akses awal menunjuk ke dalam jaringan perusahaan, memungkinkan mereka untuk bergerak ke samping dan membangun pijakan yang kokoh.

CVE-2026-24423 dan CVE-2026-23760: Cacat Bypass RCE dan Auth Kritis

Beberapa kerentanan SmarterMail yang baru-baru ini diungkapkan menciptakan badai sempurna yang menjadikan platform ini sangat menarik bagi penyerang. Diantaranya, CVE-2026-24423 menonjol sebagai kelemahan kritis eksekusi kode jarak jauh yang tidak diautentikasi yang memengaruhi versi sebelum Build 9511.

Dengan skor CVSS 9,3 dan tidak diperlukan interaksi pengguna, kelemahan ini sangat cocok untuk otomatisasi, pemindaian skala besar, dan kampanye eksploitasi massal.

Secara paralel, kerentanan tambahan CVE-2026-23760 (CVSS 9.3) mencakup kelemahan logika bypass otentikasi dan pengaturan ulang kata sandi. Hal ini memungkinkan penyerang untuk mengatur ulang kredensial administrator atau mendapatkan akses istimewa ke platform. Penelitian juga menunjukkan bahwa penyerang dengan cepat melakukan rekayasa balik untuk mengidentifikasi dan mempersenjatai kelemahan ini dalam beberapa hari setelah dirilis.

Jika digabungkan, masalah-masalah ini memungkinkan skenario pengambilalihan server secara penuh, di mana penyerang dapat berpindah dari akses tingkat aplikasi ke kontrol sistem operasi dan potensi kompromi tingkat domain di lingkungan yang terhubung.

Dari sudut pandang penyerang, kombinasi ini ideal: SmarterMail adalah layanan yang terekspos jaringan, sering kali memiliki posisi kepercayaan yang tinggi dalam lingkungan perusahaan, dan dalam banyak kasus dipantau dengan kurang agresif dibandingkan sistem titik akhir yang dilindungi oleh EDR.

Setelah kode eksploitasi bukti konsep tersedia, eksploitasi dapat dioperasionalkan dengan cepat – yang berarti jangka waktu mulai dari pengungkapan kerentanan hingga penyebaran ransomware dapat menyusut hingga beberapa hari.

SmarterTools Dilanggar oleh Cacat Produk Sendiri, Grup Ransomware Mengikuti

Insiden baru-baru ini menunjukkan dengan tepat bagaimana proses pipa ini berjalan.

Menurut SmarterTools laporanSmarterTools dibobol pada Januari 2026 setelah penyerang mengeksploitasi server SmarterMail yang belum ditambal yang berjalan pada VM internal yang terekspos di dalam jaringan mereka.

Lingkungan yang disusupi mencakup jaringan kantor dan laboratorium serta segmen pusat data yang terhubung melalui Active Directory, tempat penyerang bergerak ke samping dan memengaruhi sekitar selusin server Windows.

Perusahaan mematikan infrastruktur yang terkena dampak, memulihkan sistem dari cadangan, merotasi kredensial, dan menghapus beberapa ketergantungan Windows/AD. Meski begitu, dilaporkan bahwa layanan dan data pelanggan inti tidak terpengaruh. Penyerang memperoleh pijakan jaringan internal dan mencoba tindakan pasca-eksploitasi bergaya ransomware; itu tidak berhasil, berkat segmentasi jaringan.

Dalam penyelidikan lain diterbitkan oleh Bleeping Computer, operator ransomware memperoleh akses awal melalui kerentanan SmarterMail dan menunggu sebelum memicu muatan enkripsi, sebuah pola perilaku afiliasi klasik.

Pola ini penting:

  1. Akses awal melalui kerentanan server email
  2. Pengumpulan kredensial atau ekstraksi token
  3. Pergerakan lateral melalui Direktori Aktif
  4. Kegigihan melalui tugas terjadwal atau penyalahgunaan alat DFIR
  5. Penyebaran Ransomware setelah periode pementasan

Beberapa kampanye telah dikaitkan dengan kelompok ransomware Warlock, dan terdapat tumpang tindih dengan kelompok aktivitas yang selaras dengan negara-bangsa.

Server Email: Target Penyerang Infrastruktur Identitas Pertama

Server email berada di persimpangan unik antara kepercayaan dan visibilitas.

Mereka sering menyediakan:

  • Token autentikasi domain
  • Kemampuan mengatur ulang kata sandi
  • Saluran komunikasi eksternal
  • Akses ke grafik kontak internal
  • Integrasi dengan layanan identitas dan direktori

Penyerang memahami bahwa ekosistem email bergantung pada rantai autentikasi multi-komponen di mana satu tautan lemah dapat merusak kepercayaan secara keseluruhan. Kompromikan infrastruktur email dan Anda secara efektif mengkompromikan identitas.

1.200+ Server Rentan Teridentifikasi di Shodan

Kami menemukan ~34.000 server di Shodan dengan indikasi menjalankan SmarterMail. Dari 34.000, terdapat 17.754 server unik.

Pemeriksaan lebih lanjut terhadap server-server ini menunjukkan bahwa 1.185 rentan terhadap bypass otentikasi atau kelemahan RCE. Publikasi lain membahas tentang ~6.000 server yang rentan.

Analisis lokasi geografis dari 1.185 server ini menunjukkan dominasi AS:

Analisis lebih lanjut terhadap ISP dan Organisasi menunjukkan distribusi yang sangat beragam dari server SmarterMail terbuka, banyak panel admin yang dihosting sendiri, hosting bersama, penyedia VPS, dan jaringan cloud tujuan umum, yang biasanya diterapkan oleh individu dan bukan organisasi.

Hal ini mungkin menunjukkan bahwa setelah peningkatan keamanan yang kuat selama beberapa minggu terakhir, organisasi dengan cepat bereaksi dan memblokir serangan ini.

Forum Bawah Tanah Berbagi Eksploitasi Dalam Beberapa Hari Setelah Pengungkapan

Itu ekosistem bawah tanah bereaksi cepat terhadap publikasi semacam itu. CVE tersebut diterbitkan sekitar awal bulan Januari, dan di hari yang sama, terdapat penyebutan dan referensi terhadap kerentanan tersebut. Hingga saat ini, kami telah melihat lusinan publikasi dan referensi mengenai kerentanan ini.

Ini adalah perilaku bawah tanah yang normal jika menyangkut kerentanan kritis.

Kami juga telah melihat beberapa referensi jahat lainnya. Beberapa hari setelah publikasi pertama, ada referensi ke Bukti Konsep atau eksploitasi kerentanan. Misalnya, saluran Telegram berbahasa Arab menampilkan PoC.

Anda juga dapat melihat bagaimana pelaku ancaman menunjukkan bukti konsep:

Dan pelaku ancaman lainnya menunjukkan bukti konsep kerentanan ini:

Di grup Telegram berbahasa Spanyol, kami melihat referensi ke Alat Keamanan Ofensif:

Di grup Telegram lain, kami melihat a dump data kredensial admin disorot karena berasal dari server SmarterMail yang disusupi:

Saat mengakses salah satu tautan, Anda memang dapat melihat daftar panjang kredensial admin dan domain (atau login) miliknya.

CISA Mengonfirmasi Eksploitasi Aktif dalam Kampanye Ransomware

Kerentanan ini dipublikasikan pada awal tahun 2026, CISA menambahkan CVE-2026-24423 ke katalog Kerentanan yang Diketahui Dieksploitasi pada awal Februari 2026, setelah mengonfirmasi eksploitasi ransomware aktif.

Hal ini menegaskan bahwa penyerang cepat mengeksploitasi kerentanan kritis terkait RCE yang baru ditemukan:

  • Pengungkapan kerentanan
  • PoC ditulis dan dirilis
  • Operasi pemindaian massal
  • Persenjataan: Eksfiltrasi data, Ransomware, dll.

Garis waktu menyusut dari bulan/minggu menjadi hari.

Cara Melindungi Infrastruktur Email Dari Akses Ransomware

Banyak organisasi masih memperlakukan server email sebagai “HANYA infrastruktur aplikasi”. Ya, ternyata tidak!

Mereka adalah infrastruktur identitas yang memungkinkan banyak vektor serangan lanjutan, serta mengandung rahasia dan logika bisnis. Prioritas pertahanan harus mencakup:

  • Urgensi Patch: Kerentanan server email yang kritis harus diperlakukan seperti kerentanan pengontrol domain.
  • Telemetri Identitas: Organisasi harus memantau lingkungan ini untuk:
    • Kata sandi admin disetel ulang
    • Panggilan API ke host eksternal
    • HTTP keluar tak terduga dari server email
  • Segmentasi Jaringan: Infrastruktur email tidak boleh memiliki akses tidak terbatas ke jaringan internal.
  • Latihan Berburu Ancaman:
    • Pola penyalahgunaan API
    • Kegigihan tugas yang dijadwalkan
    • Peralatan tak terduga seperti kerangka kerja DFIR atau alat admin jarak jauh

Server Email Adalah Infrastruktur Identitas—Amankan Dengan Sesuai

Kasus SmarterMail sekali lagi menunjukkan bagaimana operasi kejahatan dunia maya modern dengan cepat menambahkan akses awal yang baru ditemukan ke dalam operasi mereka yang sedang berlangsung.

Hal ini juga menekankan kembali peran penting server email dalam organisasi modern:

  • Pialang identitas
  • Percayai jangkar
  • Logika bisnis
  • Data pengintaian yang sangat berharga untuk tindak lanjut kejahatan dunia maya

Organisasi yang terus memperlakukannya hanya sebagai “sistem pesan” akan tetap rentan terhadap jalur intrusi generasi baru ini.

Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.

Disponsori dan ditulis oleh Suar.

Post Views: 29

Read Also

Exit mobile version